NR 19/WRZESIEŃ 2013

Live Forensic-Kontrowersje prawne związane z materiałem dowodowym.

Metodyka triage

dowód elektroniczny czy jesteśmy gotowi? czyli notariusz w roli printscreena

Janusz Tomczak

Karol Szczyrbowski

Live Forensic - zasady zbierania dowodów elektronicznych

Jarosław Góra

Przemysław Krejza

V Ogólnopolska Konferencja Informatyki Śledczej. warszawa - 4 październik, Biblioteka uniwersytecka w warszawie. Organizator:

NR 19 | Wrzesień 2013Magazyn Informatyki Śledczej i Bezpieczeństwa IT

Od redakcji

2

Metodyka triage

Live Forensic - kontrowersje prawne związane z materiałem dowodowym

dowód elektroniczny-czy jesteśmy gotowi? czyLi notariusz w roLi printscreena

W skrócie:

Ujawniony budżet National Security Agency

10,8 miliarda dolarów – tyle według informacji ujawnionych przez Wa-shington Post wynosi budżet operacyjny NSA, który w 2013 roku zosta-nie przeznaczony m.in. na inwigilację Internautów. Warto zaznaczyć że na przestrzeni ostatnich 9 lat kwota ta uległa podwojeniu. Zatrudniając ponad 23 tys. osób jest drugą (po CIA) największą agencją wywiadowczą USA. Dodajmy że łączny budżet wszystkich 12 agencji wywiadowczych w USA wynosi 52,8 miliarda dolarów czyli dokładnie trzykrotność rocznych wy-datków NASA.

XRY 6.6 na testach w Polsce

Microsystemation, producent rozwiązań do analiz urządzeń mobilnych ogłosił premierę najnowszej wersji swojego flagowego produktu. XRY v. 6.6 pozwala na dostęp i ekstrakcję danych z ponad 9500 modeli urządzeń mobilnych. Urządzenie umożliwia m.in. odczyt wiadomości SMS, MMS, email, zawartości skrzynki telefonicznej, lokalizacji GPS, kalendarzy czy historii www. Polski dystrybutor udostępnia Polskim służbom sprzęt do darmowych testów.

EnCase Portable

Jest rozwiązaniem umożliwiającym przeprowadzenie procesu Triage zgod-nie z zasadami informatyki śledczej. Dzięki skróceniu czasu dotychczas przeznaczonego na zebranie danych można poświęcić go więcej na właści-wą analizę materiału dowodowego. Dzięki prostocie obsługi proces zbiera-nia danych może być przeprowadzany również przez osoby nietechniczne, a kompaktowe rozmiary zapewniają wysoką mobilność.

Live Forensic. zasady zbierania dowodów eLektronicznych

19 numer Magazynu Informatyki Śled-czej i Bezpieczeństwa IT, który właśnie

trzymasz w ręku poświęciliśmy w całości tema-tyce Triage i Live Forensic – nowym metodom akwizycji danych, które w przełomowy spo-sób ułatwiają pracę informatyków śledczych.

Obserwując gigantyczną ilość danych prze-twarzanych każdego dnia w chmurze oraz galopujący wzrost pojemności dysków nie-trudno zdać sobie sprawę, że analizy śledcze wykonywane tradycyjnymi metodami wy-magającymi czasochłonnego zabezpieczenia wszystkich nośników wkrótce stracą rację bytu. Potrzebna jest wstępna selekcja i se-gregacja danych przeznaczonych do analizy.

Rewolucja jaką okazały się metody Triage i Live forensic porównywana jest czasami z przełomem, który dokonał się w badaniu trzeźwości kierowców podczas zastąpienia badań w laboratorium przenośnym alko-matem. Niewątpliwie pozwala zaoszczędzić czas i środki, niejednokrotnie marnotrawio-ne na ekspertyzy niepotrzebnych nośników. Obrazki na których komputery przezna-czone do zabezpieczenia wywozi się z fir-my wózkami powoli odchodzą w przeszłość.

Live Forensic umożliwia analizę danych obec-nych na włączonych systemach a więc także dostępnych w chmurze i pamięci RAM, pod-gląd uruchomionych aplikacji, podłączonych urządzeń bez ryzyka utraty dostępu do danych spowodowaną np. szyfrowaniem . Triage po-zwala na zawężenie obszaru poszukiwań wy-łącznie do istotnych danych co owocuje szyb-szym postępem prac związanych z ekspertyzą. Czasem można ją wydać już tego samego dnia – co w przypadku kanonicznej metody pro-wadzenia analiz byłoby niewykonalne.

W numerze między innymi: wprowadzenie do Live Forensic, Triage okiem praktyka oraz dlaczego notariusz nie jest potrzebny w pro-cesie zabezpieczania materiału dowodowego.

Oczywiście ograniczenia wydawnicze nie po-zwalają nam na pełne wyczerpanie tematu. Dla zainteresowanych nieocenionym źródłem wiedzy będzie z pewnością V Ogólnopol-ska Konferencja Informatyki Śledczej, która odbędzie się 4 października w Warszawie.

Magazyn Informatyki Śledczej i Bezpieczeń-stwa IT jest patronem medialnym tego wy-darzenia. Wszystkich chętnych odsyłamy do zapoznania się ze szczegółami na stronie www.siis.org.pl/konferencja.

Magazyn Informatyki Śledczej i Bezpieczeństwa IT 3

Live Forensic - zasady zbierania dowodów elektronicznych Przemysław krejza

Live Forensic to technika zbierania dowodów elektronicznych z syste-mów komputerowych bez ich wy-

łączania. Przykłady zastosowań tej tech-n i k i

to

przede wszyst-kim systemy, w któ-rych niemożliwe jest zastoso-wanie zabezpieczania post mortem ze względu na to, że systemów tych nie można wyłączyć. Tak jest w przy-padku serwerowni metanomierzy w kopalniach lub serwerów hostujących ważne aplikacje biznesowe. W tych sprawach konieczne jest zabezpieczenie dowodów bez wyłączania komputerów. Live Forensic pozwala również na sko-piowanie informacji z komputera, które-go nośnik trwały może być zaszyfrowany, a komputer ten jest włączony. W takim wypadku, przed wyłączeniem, istnieje możliwość skopiowania danych, któ-rych rozszyfrowanie nie będzie możliwe.

Techniki Live Forensic są również nie-zbędne w przypadku zabezpieczania pamięci RAM, która jest cennym źró-dłem dowodów we wszystkich sprawach – począwszy od analiz powłamanio-wych oraz malware, na nieuczciwości pracowników kończąc, gdzie maile lub

rozmowy komunikatorów będą znaj-dowały się w pamięci, mimo wyłą-czonych archiwów komunikatorów. Zastosowanie Live Forensic może oznaczać również znaczną oszczędność czasu zabez-

pieczenia dzię-

k i w y k o -

r z y s t a -niu Triage.

Dzięki tej technice możliwe jest przeanalizowanie materiału dowodowego na miejscu zabezpieczania i pominięcie kopiowania nieistotnych nośników. Targeted Triage z kolei, po-zwala na zabezpieczenie tylko wybra-nych danych (bez kopiowania całych no-śników), co jest szczególnie istotne np. w sprawach gdzie na serwerze z danymi znajdują się informacje wielu podmio-tów, a nie tylko „podejrzanego”. Zasady gromadzenia dowodów w tech-nice Live Forensic są dokładnie takie same jak w technikach „tradycyjnych”. Jak zwykle ważna jest dbałość o inte-gralność dowodu. Konieczne jest także przedstawienie sposobu, w jaki zebrano dowód przedstawiając kolejne etapy tego

procesu. Obowiązują cztery podstawowe zasady.

Live Forensic jest nowoczesną techniką zabezpieczania danych, która może

być z powodzeniem stosowana w wielu sprawach zarówno cy-

wilnych jak i karnych. Oczywiście, wszędzie

gdzie to możliwe, w celu zastoso-

w a -nia się do zasad zbierania dowodów elektronicz- n y c h , powinno wykonywać się kopię binar-ną całego nośnika danych. Częścio-we lub selektywne kopiowanie plików może być uznane za alternatywę je-dynie w określonych okolicznościach, np., gdy ilość danych przeznaczonych do skopiowania czyni wykonanie kopii całościowej niemożliwym lub zaistnia-ły określone ryzyka – np. nośnik jest zaszyfrowany. Jednakże śledczy po-winny być pewni, że w takim wypadku zabezpieczyli wszystkie istotne dowo-dy oraz użyli odpowiednich narzędzi.

Autor jest prezesem Stowarzyszenia Instytut Informatyki Śledczej, twórcą największego w tej części Europy labo-ratorium informatyki śledczej

Żadne z działań po-dejmowanych przez śledczych

komputerowych nie może powodować zmian w informacjach przechowywanych

na nośniku, jeśli mają one być użyte w sądzie. Oznacza to, że wykorzystywane narzędzia

powinny spełniać zasadę „wiem wszystko – nie zmieniam nic”. Obowiązuje praca w trybie read-only, a niezbędne zmiany systemu, związane z wykorzystaniem niezbędnych

narzędzi, powinny być minimalizowa-ne oraz szczegółowo doku-

mentowane.

Osoba, która uzna za koniecznie uzyskanie

dostępu do oryginalnych danych przechowywanych na komputerze

musi mieć odpowiednie kompetencje do przeprowadzenia tej czynności oraz

do złożenia wyjaśnień w celu okre-ślenia konieczności i konsekwencji podjętych działań, a wszelkie dzia-

łania powinny być należycie udokumentowane.

ko-nieczne jest

stworzenie i zacho-wanie zapisu badania lub innych działań i procesów

wykonanych na dowodzie elek-tronicznym wraz ze wskazaniem metodologii i użytych narzędzi.

Niezależna osoba trzecia powinna być w stanie uzyskać te same rezultaty przy ponownym za-

stosowaniu tych samych procesów.

infor-matyk śledczy

jest odpowiedzialny za to, aby dowody zbierane były z

powyższymi zasadami oraz w celu zapewnienia, że materiały dowodowe

są gromadzone jest zgodnie z prawem - dowód zebrany technikami Live Forensic podlega tym samym regułom prawa, co dowody zbierane w sposób tradycyjny.

Strona postępowania ma obowiązek udowodnienia, jeśli powstanie taka

wątpliwość, że dowód przedstawiony w sądzie nie został w żaden spo-

sób zmieniony od czasu jego zabezpieczenia.

NR 19 | Wrzesień 2013Magazyn Informatyki Śledczej i Bezpieczeństwa IT4

Metodologia Triage jest nowym podejściem do procesu zabez-pieczania i analizy danych cy-

frowych na potrzeby informatyki śledczej. W ostatnim czasie zyskuje coraz większą popularność kosztem tradycyjnego mo-delu wykonywania analiz. Pojęcie „Tria-ge” pochodzi od terminu medycznego, określającego sposób selekcji rannych na polu walki. W przypadku informaty-ki śledczej jest procesem identyfikacji, sortowania oraz filtrowania mającym na celu ustalenie priorytetów oraz kategorii, zabezpieczanych lub gromadzonych in-formacji/danych.

Sam proces, w odróżnieniu od tradycyj-nego modelu, różni się znacznie ilością danych zebranych podczas zabezpiecze-nia materiału dowodowego. Ilość „zbęd-nych” informacji zostaje tutaj w sposób drastyczny ograniczona, dzięki czemu sama analiza dotyczy jedynie danych mających związek ze sprawą. Wykorzy-stanie podejścia typu Triage może wyni-kać z różnych potrzeb oraz sytuacji przed którymi staje osoba mająca zabezpieczyć dane. Są nimi np. włączony komputer z zaszyfrowanym dyskiem twardym, brak możliwości lub czasu wymaganego na zabezpieczenia całego nośnika danych, potrzeba wyodrębnienia określonych da-nych.

Samo powstanie i coraz większa popular-ność metodologii Triage wynika z nara-stających problemów, z którymi borykają się informatycy śledczy. Coraz pojem-niejsze nośniki danych (w tym roku do sprzedaży detalicznej zostały wprowa-dzone dyski twarde o pojemności 4 TB a na rok 2014 zostały zapowiedziane dys-ki 5 i 6 TB) oraz ogromna ilość danych zalegających na nich wpływają na czas i koszty pracy co także przekłada się na dłuższe wykorzystanie sprzętu na którym prowadzone są czynności związane z in-

formatyką śledczą. Dodatkowo, wykorzysta-nie narzędzi typu Triage po-zwala na współpracę z mniej wyszkolonym personelem, gdyż sam proces może być w pełni zauto-matyzowany. Początkowo określa się cele działania oraz programuje narzę-dzia Triage – najczęściej występujące w postaci „kluczy USB”. Czynności te wykonuje specjalista, aby móc później przekazać go dalej osobom, które będą mogły podłączyć narzędzie do badane-go komputera a tym samym pozwolić na jego automatyczne uruchomienie i wykonanie wcześniej zaprogramowa-nych działań na badanym komputerze. Ta funkcjonalność pozwala na zwiększe-nie wielkości zespołu biorącego udział w zabezpieczeniu bez potrzeby prze-prowadzania specjalistycznych szkoleń. Coraz większą bolączką informatyków śledczych staje się szyfrowanie partycji systemowych lub całych dysków twar-dych, które mniej lub bardziej skutecznie utrudniają ich pracę. Podejście typu Live Forensics (zabezpieczanie materiału z włączonego komputera) wraz z procesem Triage może być skutecznym rozwiąza-niem tego problemu.

Przydatność metodologii Triage najle-piej ukazuje sytuacja w której w firmie, w której znajdowało się 200 komputerów podejrzewano, że któryś z pracowników ściąga pliki graficzne zawierające pedofi-lię dziecięcą na komputer.Zaprojektowano narzędzie tak, by zosta-ły wyodrębnione wszystkie pliki graficz-ne, które zostały w późniejszym etapie sprawdzone przez informatyka śledcze-go. Założono, że każdy komputer, na którym znaleziono jakiekolwiek pliki graficzne zawierające materiały porno-graficzne, zostanie zakwalifikowany do późniejszej, pełnej analizy.

Odpowiednie wykorzystanie narzędzi Triage pozwoliło ograniczyć liczbę za-bezpieczanego sprzętu z 200 do 20 kom-puterów, czyli aż o 90% ! Ostatecznie, wpłynęło to znacząco na czas i koszty przeprowadzenia zabezpieczenia i anali-zy danych a firma mogła dalej funkcjono-wać bez większych zakłóceń. Nietrudno sobie wyobrazić jaki wpływ na działanie przedsiębiorstwa miałoby zabezpiecze-nie wszystkich 200 komputerów.

Kolejnym przykładem jest sytuacja kiedy podejrzewano pracownika o przechowy-wanie na komputerze dokumentów, do których nie powinien mieć dostępu. Ze względu na delikatny charakter i brak możliwości wykonania pełnej kopii bi-narnej, postanowiono o wykorzystaniu narzędzia Triage. Zostało ono zaprogra-mowane tak by przeszukiwało komputer pod kątem występowania dokumentów oraz słów kluczowych co pozwoliło na wstępne odnalezienie dokumentów i późniejsze dalsze działania w celu udo-wodnienia winy pracownika.

By przybliżyć ideę oraz praktyczne wyko-rzystanie Triage w procesie informatyki śledczej, zapraszam do wzięcia udziału w V Ogólnopolskiej Konferencji Informaty-ki Śledczej noszącej tytuł „Analizy w śro-dowisku big data. Triage i Live Forensic”, która odbędzie się 4 października 2013 w Warszawie.

Autor jest młodszym specjalistą infor-matyki śledczej w laboratorium Mediarecovery.

karol szczyrbowski

Metodyka Triage w informatyce śledczej

Magazyn Informatyki Śledczej i Bezpieczeństwa IT 5

Adres redakcjiMediarecovery40-723 Katowice, ul. Piotrowicka 61Tel. 32 782 95 95, fax 32 782 95 94e-mail: redakcja@mediarecovery.pl

Redakcja i Wydawca nie zwracają tekstów nie zamówionych. Redakcja zastrzega sobie prawo redagowania i skracania tekstów. Redakcja nie odpowiada za treść zamieszczanych ogłoszeń.

RedakcjaSebastian Małycha (red. nacz.),Przemysław KrejzaSkład, łamanie, grafika: Marcin WojteraReklama: Sebastian Małycha

WydawcaMedia Sp. z o.o.40-723 Katowice, ul. Piotrowicka 61Tel. 32 782 95 95, fax 32 782 95 94e-mail: biuro@mediarecovery.pl

jarosław góra

Informatyka śledcza ma na celu od-szukanie, zabezpieczenie i dostarcze-nie elektronicznego materiału dowo-

dowego, świadczącego o popełnionym przestępstwie, nadużyciu, czy zaistnia-łym incydencie. Tradycyjnie, informaty-cy śledczy zabezpieczają nośnik, którego kopia binarna poddawana jest następnie szczegółowej analizie (tzw. model post mortem). Jednak dziś, kiedy odchodzi się od tradycyjnych nośników danych za-instalowanych w urządzeniach na rzecz chmury obliczeniowej, a także kiedy wie-le informacji dostarczają dane ulotne, co-raz większe znaczenie odgrywa informa-tyka śledcza w modelu live forensic.

Na pierwszy rzut oka model ten „gryzie się” z podstawową zasadą informatyki śledczej - „widzę wszystko, nie zmie-niam nic” i pracy na kopii - zapewniających

pełną integralność materiału dowodowe-go oraz rozliczalność d z i a ł a ń

podjętych przez informatyka śledczego.

Zatem, czy materiał dowodowy zgro-madzony metoda live forensic może zostać wykorzystany przed sądem?

Jednym z najczęściej podnoszonych w praktyce zarzutów wobec elektronicz-nego materiału dowodowego polega na wskazaniu, że osoba zabezpieczająca ten materiał dokonała jego modyfikacji, przez co przestaje on być wiarygodny. Z tego właśnie względu informatycy śled-czy nie ingerowali w oryginalny nośnik, który zabezpieczali w sposób uniemoż-liwiający dokonywanie jakichkolwiek modyfikacji, natomiast analizy dokony-wali na kopii binarnej. Z reguły wyłączali urządzenie i zabierali je celem sporządze-nia kopii i przeprowadzenia analizy. Dziś dane, które mogą mieć znaczenie dla rozstrzygnięcia sprawy, a więc które

mogą stanowić dowód w postępowa-niu przed sądem, nie znajdują się często na urządzeniu, ale na wirtualnym dysku (w chmurze), z którym urządzenie łączy się

poprzez mobilny internet. Z drugiej strony, nawet jeśli

mamy do czynienia z „tra-dycyjnym” urządzeniem

wyposażonym we własny dysk to po pierwsze, mając na

uwadze często gigantycz-ną pojemności takich dysków

nie warto zabezpieczać ich w całości, ale dokonać pewnej selekcji, a po drugie nie można ignorować informacji gromadzo-

nych na nośnikach ulotnych np. w pa-mięci RAM, która obecnie może mieć 8 GB (i więcej) pojemności. I w końcu war-to pamiętać, że wyłączenie urządzenia może być nieodwracalne i w przypadku skutecznego szy-frowania utraci się dostęp do danych.

R o z w i ą z a n i e m wskazanych wyżej problemów zdaje się być przeprowa-dzanie „operacji na żywym organi-zmie”, a więc na uruchomionym urządzeniu i jego oryginalnych no-śnikach (trwa-łych i ulotnych), przy otwar-tym dostępie do danych znajdujących się w chmurze. Po-przez odpowiednie narzędzia in-formatyk śledczy podłącza się do działającego systemu i dokonuje zabezpie-czenia danych (po ich wcześniejszej oce-nie i selekcji), które następnie analizuje.

Jednak z modelem live forensic wiąże się klika poważnych problemów. Pierwszy dotyczy nieuniknionego pozo-stawiania śladów działalności informa-tyka śledczego w analizowanym systemie i na badanych nośnikach, a więc może naruszać integralność. Z technicznego

Live Forensic - kontrowersje prawne związane z materiałem dowodowym

NR 19 | Wrzesień 2013Magazyn Informatyki Śledczej i Bezpieczeństwa IT6

punktu widzenia nie da się bowiem in-gerować w system (używać go) bez po-zostawiania śladów tej ingerencji. To zaś naraża na zarzut, o którym wspo-minałem wyżej, który może skłonić sąd do uznania dowodów za niewiarygod-ne (skoro zabezpieczający i analizują-cy dowód mógł wpłynąć na jego treść).

Drugi dotyczy wątpliwości, czy dokonu-jący zabezpieczenia informatyk śledczy, działający nawet na zlecenie organów ścigania w ramach postępowania przygo-towawczego, jest uprawniony do zabez-pieczenia i analizy danych znajdujących się na wirtualnym dysku (w chmurze), dostępnych za pośrednictwem badane-go sprzętu (systemu). Czy organy ści-gania nie powinny jednak zwrócić się o udostępnienie tych danych do podmiotu świadczącego usługę w chmurze na rzecz osoby, której sprzęt jest analizowany?Analiza sprzętu komputerowego (zaso-bów systemu informatycznego) w ramach postępowania karnego to nic innego jak instytucja przeszukania, dokonywana w celu znalezienia rzeczy (informacji) mo-gących stanowić dowód w sprawie. Na-leży pamiętać, że podstawą przeszukania jest uzasadnione podejrzenie, że poszuki-wane rzeczy, a w naszym przypadku dane

informatyczne, znajdują się tam, gdzie są poszukiwane, a więc

na danym urządzeniu. W przypad-

ku da-

nych w chmurze, informacje znajdują się gdzieś na serwerze podmiotu świad-czącego usługi cloudcomputingu. Jeśli poprzez badany sprzęt brak jest dostępu do danych w chmurze np. ze względu na konieczność podania loginu i hasła, nie pozostaje nic innego jak zwrócić się do usługodawcy o udostępnienie znaj-dujących się w chmurze danych. Co jednak w przypadku, kiedy dostęp przy pomocy badanego sprzętu jest możliwy?

W mojej ocenie, jeśli zachodzi uzasad-nione podejrzenie, że na wirtualnym dysku, do którego dostęp jest możliwy bez przełamywania zabezpieczeń (dostęp nie jest zabezpieczony, albo użytkownik nie wylogował się), znajdują się infor-macje mogące stanowić dowód w spra-wie, należy dokonać ich oględzin, prze-szukania i ewentualnie zabezpieczenia.

Jeśli natomiast chodzi o zabezpieczenie się przed ewentualnym zarzutem naru-szenia integralności zabezpieczanego materiału dowodowego, zabezpieczenie powinno odbywać się z poszanowaniem dobrych praktyk, tj.:• precyzyjne dokumentowanie każdej czynności – protokół – pomocnym roz-wiązaniem może być protokołowanie również za pomocą urządzenia rejestru-jącego obraz i dźwięk,• udział w czynnościach kliku osób, spo-rządzających własne notatki ze wszyst-kich dokonywanych czynności i ich re-zultatów,

• używanie uruchomionego systemu w minimalnym, niezbędnym

zakresie (bez otwierania n i e p o t r z e b n y c h

okien i pro-g r a -

mów; bez niepotrzebnego zamykania już uruchomionych, itd.)• używanie odpowiednich narzędzi in-formatyki śledczej, dedykowanych dla metody live forensic, podłączanych przez zewnętrzne porty (bez instalacji na bada-nym systemie),• znajomość narzędzi, których się uży-wa – wiedza o tym, jakie ślady narzę-dzia te pozostawią w badanym systemie.

Celem stosowania się do wyżej wska-zanych, przykładowych dobrych prak-tyk (przepisów nigdzie nie znajdzie-my, orzecznictwa również brak) jest zapewnienie pełnej rozliczalności z czynności dokonanych przy zabezpie-czeniu oraz możliwość odparcia zarzu-tu o naruszenie integralności poprzez dokładne wskazanie w jakim zakresie nastąpiła ingerencja w system, na któ-rym dokonano zabezpieczenia danych.

Podsumowując, w mojej ocenie materiał dowodowy zgromadzony i zabezpieczony w modelu live forensic, na skutek pracy informatyka śledczego „na żywym orga-nizmie”, może zostać wykorzystany przed sądem w każdym rodzaju postępowania. Poprzez zastosowanie się do dobrych praktyk unikniemy zarzutów w zakresie naruszenia cudzych praw, czy „zanie-czyszczenia” materiału dowodowego. Autor jest szefem Zespołu Prawa IP i No-wych Technologii w kancelarii Ślązak, Zapiór i Wspólnicy, Kancelaria Adwo-katów i Radców Prawnych. Specjalizuje się w zakresie prawa własności intelek-tualnej i nowych technologii. Prelegent na wielu konferencjach, a także prowa-dzący szeregu szkoleń związanych z IP, IT oraz bezpieczeństwem informacji. Trener w ramach Akademii Informaty-

ki Śledczej.

Magazyn Informatyki Śledczej i Bezpieczeństwa IT 7

janusz tomczak

Dowód elektroniczny - czy jesteśmy gotowi? Czyli notariusz w roli printscreena.

Problem do rozwiązania? - uwagi na tle praktyki wykorzystania informa-tyki śledczej w postępowaniach do-

wodowych toczących się na podstawie ustawy

Informatyka śledcza jest dziedziną, która rozwija się tak szybko jak szybko rozwijają się technologie informatyczne i cyfrowe.Niemniej stwierdzenie, że prawo nie na-dąża za rozwojem technologii w przypad-ku informatyki śledczej nie jest nawet nieadekwatne, - ono w żaden sposób nie odzwierciedla złożoności zagadnień, które powstają w związku z możliwościami wy-korzystania zaawansowanych narzędzi, którymi posługują się informatycy śledczy.

Problem nie tkwi jednak tylko i wy-łącznie w niedoskonałości obowiązują-cego prawa. Aby uzyskać pełny obraz funkcjonowania informatyki śledczej w praktyce wymiaru sprawiedliwości na-leży zwrócić uwagę z jednej strony na rosnącą liczbę czynności procesowych z udziałem biegłych z zakresu informaty-ki, podnoszący się poziom wyposażenia jednostek prokuratury i sądownictwa w środki umożliwiające przechowywanie oraz prezentację materiałów cyfrowych, z drugiej strony ogólny, niski poziom wiedzy prawników na temat zastosowa-nia technologii informatycznych w ich pracy, przeważającą niechęć prawni-ków - osób o formacji humanistycznej do nauk ścisłych, które wykorzystują już dawno „wyparte” przez nich pojęcia m.in. „algorytmu”, itp. Prawnicy przy-zwyczajeni są zazwyczaj do tradycyjnych metod analizy dostępnych informacji o prowadzonej sprawie i z nieufnością podchodzą do nowinek w tym zakresie.

Kiedy przygotowując się do napisania niniejszego tekstu zwróciłem się do kil-kudziesięciu moich kolegów (adwokatów i radców prawnych) z pytaniem: z jakim sposobem zabezpieczenia treści znaj-

dujących się w internecie zetknęli się w swojej praktyce – w odpowiedzi uzyska-łem informację, że był to protokół spo-rządzony przez notariusza, który opisał w nim fakt wyświetlenia na jego kancela-ryjnym komputerze strony internetowej o określonej treści w określonym czasie. Większość z nich to osoby mające do czynienia głównie z procesami cywilny-mi niemniej dominowała opinia, że jest to najpewniejszy sposób „uchwycenia” w czasie i miejscu określonej treści, co pokazuje po części stan wiedzy o infor-matyce śledczej. Metoda poświadczania przez notariusza określonych zdarzeń, co do zasady, nie zmieniła się od stuleci.

W większości tekstów prawniczych po-święconych informatyce śledczej kon-tekst, w którym umieszcza się to pojęcie dotyczy zabezpieczania dowodów. Cho-dzi zatem o sytuacje, w których istotne jest utrwalenie w formie elektronicznej informacji - bez ingerowania w nie – ma-jących znaczenie dowodowe w sprawie. Kodeks postępowania karnego w tym za-kresie odsyła zainteresowanych poprzez „odpowiednie stosowanie” do przepi-sów o zatrzymaniu rzeczy i przeszukaniu (Rozdział 25, art. 236a Kodeksu postępo-wania karnego), a więc regulacji, która od początku tworzona była na potrzeby zbierania dowodów rzeczowych. Takie podejście ogranicza rolę informatyka do roli technika dbającego o wiarygodność i autentyczność zabezpieczanych danych.

Kodeks pomija jednak funkcje „wy-krywcze” informatyki śledczej jako na-rzędzi ściśle śledczych, służących zbie-raniu i analizowaniu informacji. Być może zagadnienia te nie powinny być przedmiotem regulacji prawnokarnych a administracyjnych, uwzględniają-cych potrzeby ochrony danych osobo-wych, w tym powtarzaną od kilku lat

potrzebę uregulowania zagadnienia monitoringu w miejscach publicznych.30 marca 2009r., w odpowiedzi na in-terpelację poselską nr 7857 ówczesny sekretarz stanu w Ministerstwie Spra-wiedliwości „w sprawie postępowania z dowodami elektronicznymi” wyjaśnił, że: „Odnosząc się do postulowanej w inter-pelacji weryfikacji przepisów dotyczą-cych omawianej problematyki, należało-by rozstrzygnąć w pierwszej kolejności, na ile specyfika dowodów elektronicz-nych wymaga wydania aktu prawnego normującego kwestie związane z zabez-pieczaniem i przetwarzaniem dowodów elektronicznych. Wskazać należy bo-wiem, że w odniesieniu do innych specy-ficznych dowodów kwestie te w znacznej części pozostawiono do rozstrzygnięcia kryminalistyce i innym gałęziom nauki, których osiągnięcia są wykorzystywane w procesie karnym. Z uwagi na dynamicz-ny rozwój informatyki i telekomunikacji problematyczne zagadnienie stanowiłaby również kwestia odpowiedniego stop-nia szczegółowości takich unormowań, aby wskutek bardzo szybkiego rozwoju tych dziedzin nauki nie stanowiły one wkrótce praktycznej bariery w postę-powaniu z dowodami elektronicznymi, falsyfikując aktualność wprowadzo-nych tymi unormowaniami rozwiązań.” W zakresie poruszonego w interpelacji problemu kwalifikacji biegłych wyda-jących opinie w przedmiocie dowodów elektronicznych należy stwierdzić, że z uwagi na okoliczność, że ocena dowodów elektronicznych zazwyczaj wymaga po-siadania wiadomości specjalnych, zwykle organ procesowy na podstawie art. 193 K.p.k. zasięga opinii biegłego lub stosow-nej instytucji naukowej lub specjalistycz-nej. Każdy biegły zobowiązany jest do wy-konania powierzonych mu obowiązków z całą sumiennością i starannością, zgodnie ze złożonym przyrzeczeniem. Kryteria,

NR 19 | Wrzesień 2013Magazyn Informatyki Śledczej i Bezpieczeństwa IT

jakie spełniać ma biegły każdej specjal-ności, oraz tryb ustanawiania biegłych sądowych, pełnienia przez nich czynno-ści oraz zwalniania ich z funkcji określa rozporządzenie ministra sprawiedliwości z dnia 24 maja 2005 r. w sprawie bie-głych sądowych (Dz. U. Nr 15, poz. 133). Przedstawiony w interpelacji postu-lat dotyczący wprowadzenia wyższych wymagań wobec biegłych opiniujących dowody elektroniczne powinien zostać zrealizowany zarówno w stosunku do biegłych tej specjalności, jak również wszystkich innych biegłych sądowych, po uchwaleniu przez Sejm opracowanej w Ministerstwie Sprawiedliwości, w formie projektu, ustawy o biegłych sądowych. W projekcie tym, znajdującym się obec-nie na końcowym etapie uzgodnień

wewnętrznych, przyjęto rozwiązania gwarantujące obiektywną weryfika-cję wiedzy i umiejętności biegłych, i to zarówno przed ich wpisaniem na listę biegłych sądowych, jak i po do-konaniu takiego wpisu, w trakcie peł-nienia funkcji biegłego sądowego.”W ostatnich tygodniach, a więc po ponad 5 latach od przygotowania owej odpowie-dzi na stronach Ministerstwa Sprawie-dliwości opublikowane zostały założenia do projektu ustawy o biegłych sądowych.

Dokument, jak wynika z jego tytułu jest „projektem założeń projektu ustawy” a więc stopień jego ogólności jest deli-katnie mówiąc znaczny, niemniej tym co uderza, mając na uwadze powyższą odpowiedź Ministra jest fakt, że wśród organizacji i instytucji, którym projekt został przesłany do konsultacji nie ma

żadnej zajmującej się wyłącznie infor-matyką, w tym informatyką śledczą. „Wyróżnieni” zostali m.in. biegli geode-ci, doradcy podatkowi i biegli rewidenci. Jeśli projektowana ustawa wejdzie w ży-cie będzie bez wątpienia jednym z waż-niejszych aktów prawnych wpływających na kształt postępowań dowodowych karnych i cywilnych. Głos informaty-ków, w tym tych zajmujących się infor-matyką w toku prac nad nią nie może być pominięty w sytuacji, w której spo-dziewamy się rosnącego znaczenia tej dziedziny dla postępowań dowodowych prowadzonych na podstawie ustawy.

Janusz Tomczak, adwokat partner w kancelarii Wardyński i Wspólnicy Spół-ka komandytowa